FreeBSD na www.malisz.eu.org

W tym artykule postaram się opisać jak zainstalować oraz wstępnie skonfigurować Sendmaila oraz jak uruchomić naszego demona razem z autoryzacją. Nie będę opisywał wszystkich opcji jakie oferuje nam Sendmail oraz dlaczego Sendmail a nie qmail, postfix czy exim a jedynie te opcje które uważam za najistotniejsze.

Sendmail w naszym systemie znajduje się w "standardzie" jednak ta wersja która znajdowała się po zainstalowaniu w moim systemie była zbyt stara i zainstalowałem nową z portów.

Zaczniemy od wyłączenia Sendmaila z basesystemu:
Edytujemy plik rc.conf i piszemy bądź modyfikujemy wpis na:

sendmail_enable="NONE"

Przechodzimy do katalogu:
/usr/ports/mail/sendmail-sasl
i wydajemy znaną nam komendę make install clean, czekamy cierpliwie i po kilku minutach zabieramy się do konfiguracji:
Zaczynamy od katalogu /etc/mail tam wydajemy najpierw komendę make a poźniej make install, pojawi nam się kilka dodatkowych plików. Jednym z nich będzie nazwa.hosta.pl.mc
Edytujemy go i sprawdzamy czy mamy poniższe wpisy (między innymi) jeżeli nie to dopisujemy je:

define(`confCW_FILE', `-o /etc/mail/local-host-names')
FEATURE(access_db, `hash -o -T /etc/mail/access')
FEATURE(mailertable, `hash -o /etc/mail/mailertable')
FEATURE(virtusertable, `hash -o /etc/mail/virtusertable')
TRUST_AUTH_MECH(`EXTERNAL DIGEST-MD5 CRAM-MD5 LOGIN PLAIN')dnl
define(`confAUTH_MECHANISMS', `EXTERNAL GSSAPI DIGEST-MD5 CRAM-MD5 LOGIN PLAIN')dnl

To na razie tyle jeżeli chcemy aby dodatkowo nasz sendmail obsługiwał SMTP + SSL odsyłam do artykułu Tunelowanie POP3 i SMTP.
Teraz zjmiemy sie plikiem local-host-names
tutaj wpisujemy nazwę domen które będzie obsługiwał nasz Sendmail.
Kolejnym plikiem będzie access tutaj wpisujemy domeny którym zezwalamy na RELAY oraz którym domenom zabronimy dostęp.

Kiedyś non-stop przychodziły mi e-maile z wirusami z domeny boss.com
dopisujemy:
boss.com REJECT
i po bólu.

Teraz czas na plik z aliasami, edytujemy plik aliases i wpisujemy aliasy użytkowników np.:
imie.nazwisko: user
Czasami ktoś potrzebuje mieć kilka adresów e-mail, np. w firmie Pani Ewa posiada swojego e-maila służbowego ewa@firma.pl a potrzebuje mieć dodatkowo sekretariat@firma.pl tworzymy jej alias:
sekretariat: ewa
po każdym dodaniu aliasu wydajemy komendę newaliases.

Istnieje jeszcze plik o nazwie virtusertable tam określamy gdzie ma trafić e-mail z okresłonej domeny (jeżeli mamy ich kilka na naszym serwerze).

Na koniec wydajemy jeszcze raz komendę make oraz make install w katalogu /etc/mail i włączamy naszego sendmaila:
/usr/local/etc/rc.d/sendmail.sh start
oraz
/usr/local/etc/rc.d/saslauthd.sh start

Testujemy naszego sendmaila:
telnet localhost 25
po zgłoszeniu sie naszego demona wpisujemy:
ehlo localhost
jeżeli zobaczymy to co poniżej to OK

250-domena.pl Hello domena.pl [127.0.0.1], pleased to meet you
250-ENHANCEDSTATUSCODES
250-PIPELINING
250-8BITMIME
250-SIZE
250-DSN
250-ETRN
250-AUTH DIGEST-MD5 CRAM-MD5 LOGIN PLAIN
250-STARTTLS
250-DELIVERBY
250 HELP

Jeszcze jedna sprawa która jest związana z konfiguracją Sendmaila.
Po uruchomieniu sendmaila i wydaniu komendy nmap localhost pokazuje nam się lista otwartych portów wśród których jest:
submission 587/tcp
nie jest to jakiś problem można oczywiście tak skonfigurować firewalla aby ten port był całkowicie zamknięty, ale można go również wyłączyć w pliku sendmail.cf
komentujemy linijkę która zawiera:
#O DaemonPortOptions=Port=587, Name=MSA, M=E
i restartujemy sendmaila.
Jeżeli ktoś zna inną metodę to proszę o informację, chętnie zmodyfikuję tą część.
Proszę o ewentualne uwagi.

Pozdrawiam
Jacek

PS. Jeżeli ktoś chciałby napisać artykuł o zabezpieczeniu naszej poczty przed wirusami na bazie (Clamav, Amavisd-new, Sendmail) to chętnie go umieszczę tutaj.

Jak zabezpieczyć nasze skrzynki pocztowe przed plikami, które zawierają niebezpieczne załączniki?. Jednym ze sposobów może by zainstalowanie procmaila i umieszczenie w katalogu domowym użytkownika pliku .procmailrc o zawartości:

:0 HB:
* ^Content-Type:.*(application|audio|multipart)
* name.*=.*.(bat|exe|pif|vbs|swf|scr|lnk)
/dev/null

Po takiej operacji wszystkie e-maile które będą zawierały niebezpieczny kod od razu trafią do /dev/null.